6. НГФВ за мала предузећа. Смарт-1 Цлоуд

Приветствую всех, кто продолжает читать цикл о новом поколении NGFW Check Point семейства SMB (1500 cерия). В КСНУМКС партс мы рассмотрели решение SMP (портал управления для SMB шлюзов). Сегодня же хотелось бы рассказать о портале Smart-1 Cloud, он позиционирует себя как решение на базе SaaS Check Point, выполняет роль Management Server в облаке, поэтому будет актуален для любых NGFW Сheck Point. Для тех, кто только присоединился к нам, напомню ранее рассмотренные темы: иницијализација и конфигурација , организација бежичног преноса саобраћаја (ВиФи и ЛТЕ) , ВПН.

Выделим основные возможности Smart-1 Cloud:

1. Единое централизованное решение управления всей вашей инфраструктурой Check Point (виртуальные и физические шлюзы различного уровня).
2. Общий набор политик для всех Блейдов позволяет упростить процессы администрирования ( создание/редактирование правил для различных задач).
3. Поддержка профильного подхода при работе с настройками шлюзов. Отвечает за разделение прав доступа при работе в портале, где одновременно могут выполнять различные задачи администраторы сети, специалисты аудита и т.д.
4. Мониторинг угроз, который обеспечивает получение логов, просмотр событий в одном месте.
5. Поддержка взаимодействия через API. Пользователь может внедрять процессы автоматизации, упрощая рутинные ежедневные задачи.
6. Доступ по Web. Снимает ограничения, касающиеся поддержки отдельных ОС, интуитивно понятен.

Те, кто уже знаком с решениями от Check Point, могут заметить, что представленные основные возможности не отличаются от локального выделенного Management Server в вашей инфраструктуре. Отчасти они будут правы, но в случае с Smart-1 Cloud обслуживание сервера управления обеспечивается силами специалистов Check Point. Оно включает в себя: снятие бекапов, мониторинг свободного места на носителях, исправление ошибок, установка последних версий ПО. Также упрощается процесс миграции (переноса) настроек.

Лиценцирање

Прежде чем знакомиться с функционалом облачного решения управления, изучим вопросы лицензирования из официального ДатаСхеет.

Управление одним шлюзом:

Подписка зависит от выбранных блейдов управления, всего предусмотрено 3 направления:

1. Management. Хранилище в 50 ГБ, ежедневно под логи 1 ГБ.
2. Management + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов.
3. Management + Compliance + SmartEvent. Хранилище в 100 ГБ, ежедневно под логи 3 ГБ, генерация отчетов, рекомендации по настройкам из общих практик информационной безопасности.

*Выбор зависит от многих факторов: вид логов, количество пользователей, объемы трафика.

Также имеется подписка для управления 5 шлюзами. Подробно останавливаться на этом не будем — вы всегда сможете получить информацию из ДатаСхеет.

Запуск Smart-1 Cloud

Опробовать решение может каждый желающий, для этого нужно зарегистрироваться в Infinity Portal — облачный сервис от Check Point, в котором можно получить триальный доступ к следующим направлениям:

• Cloud Protection (CloudGuard SaaS, CloudGuard Native);
• Network Protection (CloudGuard Connect, Smart-1 Cloud, Infinity SOC);
• Endpoint Protection (Sandblast Agent Management Platform, SandBlast Agent Cloud Management, Sandblast Mobile).

Мы же авторизуемся c вами в системе (для новых пользователей требуется регистрация) и перейдем в решение Smart-1 Cloud:

Вам кратко расскажут о плюсах этого решения (Управление инфраструктурой, не требуется установки, обновляется автоматически).

После заполнения полей нужно будет дождаться подготовки формирования учетной записи для входа в портал:

В случае успешной операции вы получите на почту (указанную при входе в Infinity Portal) информацию о регистрации, также вы будете переадресованы на главную страницу Smart-1 Cloud.

В качестве доступных вкладок портала:

1. Запуск SmartConsole. С помощью установленного приложения на ваш ПК, либо использовать веб-интерфейс.
2. Синхронизация с объектом шлюза.
3. Работа с логами.
4. Подешавања

Cинхронизация со шлюзом

Начнем с синхронизации Security Gateway, для этого его нужно добавить как объект. Перейдите во вкладку “Connect Gateway”

Необходимо ввести уникальное имя шлюза, можно добавить комментарий к объекту. После чего нажать "Регистровати".

Появится объект шлюза, который необходимо будет синхронизировать с Management Server, выполняя CLI-команды для шлюза:

1. Убедиться, что на шлюзе установлен последний JHF (Jumbo Hotfix).
2. Установить токен подключения: set security-gateway maas on auth-token
3. Проверить состояние тоннеля синхронизации:
   MaaS Status: Enabled
   MaaS Tunnel State: Up
   MaaS domain-name:
   Service-Identifier.maas.checkpoint.com
   Gateway IP for MaaS Communication: 100.64.0.1

После того, как были подняты службы для Mass Tunnel, вы должны перейти к установке SIC-соединения между шлюзом и Smart-1 Cloud в Smartconsole. В случае успешной операции будет получена топология шлюза, приложим пример:

Таким образом, при использовании Smart-1 Cloud, шлюз подключается в “серую” сеть 10.64.0.1.

Дополню, что на нашем макете сам шлюз выходит в Интернет с помощью NAT, соответственно, публичного IP-адреса на его интерфейсе нет, тем не менее, мы можем им управлять извне. Это еще одна интересная особенность Smart-1 Cloud, благодаря которой создается отдельная подсеть управления со своим пулом IP-адресов.

Закључак

После того, как вы успешно добавили шлюз для управления через Smart-1 Cloud, вы получаете полноценный доступ, как и в Smart Console. На нашем макете мы запустили веб-версию, фактически, это поднятая виртуальная машина с запущенным клиентом управления.

О возможностях Smart Console и архитектуре Check Point вы всегда можете узнать более подробно в нашем авторском naravno.

На сегодня все, нас ждет завершающая статья цикла, в которой мы коснемся возможностей по тюнингу производительности семейства SMB 1500 серии с установленной Gaia 80.20 Embedded.

Велики избор материјала за Цхецк Поинт из ТС Солутион-а. Будите у току (Telegram, фацебоок, VK, ТС Солутион Блог, Иандек Зен)

Извор: ввв.хабр.цом